【技术实现步骤摘要】
网络安全评估方法及电子设备
本专利技术涉及网络安全领域,尤其涉及一种网络安全评估方法及电子设备。
技术介绍
企业为了更好地满足信息交流与资源共享,提高工作效率,会建立自己的内部信息网络。然而企业内部网络信息包含很多内部机密和重要文件资料,它的安全性对企业来说意义重大。由于计算机网络拥有互联性、开放性的特点,企业利用计算机网络进行企业信息的管理,将会面临系统内部和外部的双重威胁,给企业的信息安全带来危害。采用全流量分析平台、IPS(IntrusionPreventionSystem,入侵防御系统)/IDS(intrusiondetectionsystem,入侵检测系统)、WAF(WebApplicationFirewall,网站应用级入侵防御系统)进行网络检测,对于同一个网络攻击行为,会在上述检测设备上产生多条告警信息。目前,会根据产生的多个条告警信息中IP地址的角色,找到IP地址作为网络异常行为的发起者的数量,直接通过当前告警信息确定出告警信息中IP地址(InternetProtocolAddress,互联网协议地址)的威胁情况。然而,告警信息是在进行网络攻击时违反检测设备设定的条件而产生的,同时在进行用户业务时也会产生告警信息,在网络攻击时也会产生告警信息,若单独以当前得到的告警信息分析IP地址的角色,容易因为用户业务的发起地址与网络攻击的发起地址混淆,导致误报。
技术实现思路
本专利技术提供一种网络安全评估方法及电子设备,非采用容易导致误报的方式确定威胁程度,而是通过源IP地址 ...
【技术保护点】
1.一种网络安全评估方法,其特征在于,包括:/n从预设时间段内网络产生的告警信息中,提取多个源IP地址和目的IP地址;/n针对每个源IP地址,根据源IP地址与每个目的IP地址之间发生网络异常的概率,构建所述源IP地址对应的结构向量,以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息,构建所述源IP地址对应的属性向量;/n将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量,以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量;/n将所述参考结构向量与所述结构向量进行对比得到对比结果,以及将所述参考属性向量与所述属性向量进行对比得到对比结果,根据得到的两个对比结果,确定所述源IP地址的威胁程度值。/n
【技术特征摘要】
1.一种网络安全评估方法,其特征在于,包括:
从预设时间段内网络产生的告警信息中,提取多个源IP地址和目的IP地址;
针对每个源IP地址,根据源IP地址与每个目的IP地址之间发生网络异常的概率,构建所述源IP地址对应的结构向量,以及根据所述源IP地址所属的告警信息确定的源IP地址属性信息,构建所述源IP地址对应的属性向量;
将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量,以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量;
将所述参考结构向量与所述结构向量进行对比得到对比结果,以及将所述参考属性向量与所述属性向量进行对比得到对比结果,根据得到的两个对比结果,确定所述源IP地址的威胁程度值。
2.根据权利要求1所述的网络安全评估方法,其特征在于,通过以下方式确定源IP地址与每个目的IP地址之间发生网络异常的概率:
由预设时间段内网络生成的告警信息,构建多个第一告警序列;其中,所述第一告警序列由多个包含同一个源IP地址的告警信息组成,或由包含同一个源IP地址和同一个目的IP地址的告警信息组成;
将所述多个第一告警序列输入统计模型中,确定每两个告警信息之间的转移概率;
根据每两个告警信息之间的转移概率,确定预设时间段内网络生成的每个告警信息的生成概率;
针对每个包含同一个源IP地址和同一个目的IP地址的第一告警序列,根据第一告警序列中所有告警信息的生成概率,确定第一告警序列的生成概率;将第一告警序列的生成概率作为所述第一告警序列中的源IP地址与目的IP地址之间发生网络异常的概率。
3.根据权利要求2所述的网络安全评估方法,其特征在于,所述根据每两个告警信息之间的转移概率,确定预设时间段内网络生成的每个告警信息的生成概率,包括:
采用随机游走的方式,对多个第一告警序列中的告警信息重新划分为多个第二告警序列;
将第二告警序列中每两个告警信息之间的转移概率,作为所述每两个告警信息采用向量表示时两个向量之间的距离;
根据所述距离确定每个告警信息生成概率的向量表示。
4.根据权利要求3所述的网络安全评估方法,其特征在于,根据第一告警序列中所有告警信息的生成概率,确定第一告警序列的生成概率,包括:
将第一告警序列中所有告警信息生成概率的向量表示输入到句向量生成模型中,确定第一告警序列的生成概率的向量表示。
5.根据权利要求1~4任一所述的网络安全评估方法,其特征在于,所述结构重构模型包括图卷积神经模型和链路预测模型;所述属性重构模型包括图卷积神经模型和属性预测模型;
将所述源IP地址对应的结构向量与属性向量输入到结构重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考结构向量,以及将所述源IP地址对应的结构向量与属性向量输入到属性重构模型中,得到所述源IP地址作为用户业务的发起地址的情况下构建的参考属性向量,包括:
将所述源IP地址对应的结构向量与属性向量输入到图卷积神经模型中,以得到源IP地址的生成向量;其中所述源IP地址的生成向量表示所述预设时间段内产生源IP地址的概率;
将所述源IP地址的生成向量输入到链路预测模型中,以得到所述源IP地址作为用户业务的发起地址的...
【专利技术属性】
技术研发人员:薛见新,刘文懋,陈磊,吴复迪,
申请(专利权)人:绿盟科技集团股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。